Ein Jahr nach dem Brexit - Die Folgen für den Datenschutz

Mittlerweile ist es ein Jahr her als das Vereinigte Königreich in der Nacht zum 1. Februar 2020 die Europäische Union verlassen hat. Grundlage für den Austritt war das am 23. Juni 2016 durchgeführte Referendum, bei dem sich die Bürger des Vereinigten Königreichs gegen einen Verbleib in der EU aussprachen. Der kalte Brexit ist zum Glück ausgeblieben. Was Sie in Zukunft in Bezug auf den Brexit und die damit verbundenen datenschutzrelevanten Themen wissen müssen, erfahren Sie heute.

Es war der Paukenschlag zu Beginn des letzten Jahres - der Austritt des Vereinigten Königreichs aus der Europäischen Union. Seit diesem Tag (1. Februar 2020) besitzt die EU nur noch 27 Mitgliedsstaaten. 27 Mitgliedsstaaten, in denen rechtlich relevante Themen einheitlich und rechtsverbindlich durch die EU in Form von EU-Verträgen, Verordnungen, Richtlinien, Beschlüsse, delegierte Rechtsakte und Durchführungsrechtsakte geregelt wird. Die EU gibt auch Empfehlungen und Stellungnahmen heraus, die nicht rechtsverbindlich sind (wird hier nur zur Vollständigkeit angeführt). Verlässt ein Land die Europäische Union, so besteht ab Zeitpunkt des Austritts keine Pflicht mehr, die Rechte und Vorgaben aus der EU verbindlich umzusetzen. Natürlich konnten die Prozesse nicht von heute auf morgen umgestellt werden, sodass man dem austretenden Land nach Art. 126 des Austrittsabkommens eine Übergangsfrist bis zum 31. Dezember 2020 eingeräumt hat. Bis zu diesem Tag müssen die Gesetze und Richtlinien der EU weiter umgesetzt werden.

Datenschutz in der EU

Der Datenschutz ist in der EU vor allem durch die Datenschutz-Grundverordnung (DSGVO), die JI-Richtlinie und durch die Datenschutz-Richtlinie für elektronische Kommunikation geregelt. Die Datenschutz-Grundverordnung ist eine Verordnung, die im Jahr 2016 nach zahlreichen Diskussionen und Nachbesserungen durch das EU-Parlament beschlossen wurde. Anschließend ist sie im Amtsblatt der Europäischen Union veröffentlicht worden und seit dem 24. Mai 2016 in Kraft. Eine Verordnung ist ein Rechtsakt, die bei Inkrafttreten automatisch und in einheitlicher Weise in allen EU-Ländern gilt, ohne dass sie in einzelstaatliches Recht umgesetzt werden muss. So kann garantiert werden, dass in allen Mitgliedsländern ein gleiches rechtliches Niveau erzielt wird.

Um den Bezug zum Vereinigten Königreich nicht zu verlieren, wird in dieser Datenschutz-Grundverordnung eine Unterscheidung vorgenommen: Es werden die Länder, in denen die DSGVO direkt zur Anwendung kommt, von den Ländern, die nicht der EU ansässig sind, abgegrenzt. Solche Länder werden als Drittländer bezeichnet, für die es gesonderte Regelungen bei der Verarbeitung von personenbezogenen Daten gibt. Das Vereinigte Königreich wurde mit seinem Austritt aus der Europäischen Union zum Drittland.

Von besonderer Bedeutung wird diese Konstellation bei der Übermittlung von personenbezogenen Daten. Möchte man eine Übermittlung von personenbezogenen Daten in ein Drittland vornehmen, so muss zu Beginn erst einmal eine Zulässigkeitsprüfung auf zwei Stufen vollzogen werden. Neben den allgemeinen Voraussetzungen in der DSGVO müssen zusätzlich auch die Anforderungen aus Art. 44 DSGVO erfüllt sein. Das Drittland bzw. die Institution oder Organisation muss dem Verantwortlichen in der EU ein angemessenes Schutzniveau vorweisen können. Dieser Nachweis und die Gewährleistung des Schutzniveau ist mit einem großen Umsetzungsaufwand für die betroffenen Stellen verbunden.

Aktuelle Rechtslage

Nach Art. 132 des Abkommens wäre eine Verlängerung der Übergangsfrist, die zum Ende des Jahres 2020 auslief, einmalig um ein oder zwei Jahre möglich gewesen. Der Beschluss darüber hätte aber vor dem 1. Juli 2020 gefasst werden müssen, was jedoch nicht geschehen war. Andere Regelungen wie beispielsweise Angemessenheitsbeschlüsse, die eine Übermittlung personenbezogener Daten auch nach dieser Frist erleichtern, sind ebenfalls nicht erlassen worden. Die Verarbeitung personenbezogener Daten im Vereinigten Königreich spielt gerade für deutsche Unternehmen eine bedeutende Rolle. Schließlich setzt fast jedes siebte Unternehmen einen Dienstleister mit Sitz im Vereinigten Königreich ein.

Kurz vor Ende der Übergangsfrist haben das Vereinigte Königreich und die EU im Rahmen eines Handels- und Zusammenarbeitsabkommens in den Schlussbestimmungen eine neue Übergangsregelung für Datenübermittlung vorgesehen, die Unsicherheiten in Bezug auf Datenübermittlungen vorbeugen soll. Danach soll die Übermittlung personenbezogener Daten von der EU in das Vereinigte Königreich für einen weiteren Übergangszeitraum möglich sein, sodass das Vereinigte Königreich erst einmal nicht als Drittland angesehen wird. Dieser Übergangszeitraum begann am 1. Januar 2021 und endet, wenn die EU-Kommission und das Vereinigte Königreich betreffende Entscheidungen zu einem möglichen Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 JI-Richtlinie getroffen hat, spätestens jedoch nach vier Monaten. Diese Frist könnte ebenfalls einmalig um weitere zwei Monate verlängert werden, falls keine der Parteien widerspricht.

Zusammenfassend lässt sich hier festhalten, dass Datenübermittlungen in das Vereinigte Königreich weiterhin unter den bisherigen Voraussetzungen möglich sind. Welche Entscheidungen die EU-Kommission in Bezug auf die weiteren Datenübermittlungen treffen kann, haben wir bereits in unserem Blogbeitrag Brexit = Datenschutz-Exit? ausführlich behandelt.

Nachtrag vom 30.04.2021

Der Übergangszeitraum läuft nun aus. Das Vereinigte Königreich wird jetzt endgültig als Drittland bezeichnet. Jetzt dreht sich alles um die Frage: Ist das Vereinigte Königreich ein sicheres oder ein unsicheres Drittland? Dieser Frage gehen wir in unserem Blogbeitrag Brexit vollzogen: UK als Drittland auf den Grund.